Users Guide
Nicht in dieser Version.
Warum dauert es bis zu vier Minuten, sich über die Active Directory-basierte Einmal- oder Smart Card-Anmeldung
bei iDRAC anzumelden?
Die Active Directory-Einmal- oder die Smart Card-Anmeldung dauert in der Regel weniger als 10 Sekunden; die Anmeldung kann
allerdings bis zu vier Minuten dauern, wenn Sie den bevorzugten DNS-Server und den alternativen DNS-Server angegeben
haben und der bevorzugte DNS-Server fehlschlägt. DNS-Zeitüberschreitungen werden erwartet, wenn ein DNS-Server
heruntergefahren ist. iDRAC meldet Sie unter Verwendung des alternativen DNS-Servers an.
Das Active Directory für eine vorhandene Domäne ist in Windows Server 2008 Active Directory kofiguriert. Eine
untergeordnete Domäne bzw. Subdomäne ist für die Domäne vorhanden, der Benutzer und die Gruppe sind in
derselben untergeordneten Domäne vorhanden und der Benutzer ist ein Mitglied dieser Gruppe. Bei dem Versuch,
sich unter Verwendung des Benutzers, der sich in der untergeordneten Domäne befindet, am iDRAC anzumelden,
schlägt das Einmalige Anmelden über Active Directory fehl.
Dies kann möglicherweise auf den falschen Gruppentyp zurückzuführen sein. Im Active Directory-Server gibt es zwei Arten von
Gruppentypen:
● Sicherheit – Sicherheitsgruppen ermöglichen Ihnen, den Benutzer- und Computerzugriff auf freigegebene Ressourcen zu
verwalten und Gruppenrichtlinieneinstellungen zu filtern.
● Verteilung – Verteilungsgruppen sind nur als E-Mail-Verteilerlisten vorgesehen.
Stellen Sie immer sicher, dass der Gruppentyp Sicherheit lautet. Sie können zum Zuweisen von Berechtigungen für Objekte
keine Verteilergruppen verwenden, verwenden Sie diese jedoch zum Filtern von Gruppenrichtlinieneinstellungen.
Einmaliges Anmelden
Die SSO-Anmeldung schlägt auf Windows Server 2008 R2 x64 fehl. Welche Einstellungen sind zum Lösen dieses
Problems erforderlich?
1. Führen Sie http://technet.microsoft.com/en-us/library/dd560670(WS.10).aspx für den Domänen-Controller und die
Domänenregel aus.
2. Konfigurieren Sie die Computer zur Verwendung der DES-CBC-MD5-Cipher-Suite.
Diese Einstellungen haben möglicherweise Einfluss auf die Kompatibilität mit Client-Computern oder -Diensten und
Anwendungen in Ihrer Umgebung. Die Regeleinstellung Für Kerberos zulässige Verschlüsselungstypen konfigurieren ist unter
Computer-Konfiguration > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen gespeichert.
3. Stellen Sie sicher, dass die Domänen-Clients über das aktualiserte GPO verfügen.
4. Geben Sie in der Befehlszeile den Befehl gpupdate /force ein und löschen Sie die alte Keytab mit Befehl klist purge.
5. Nachdem das GPO aktualisiert wurde, erstellen Sie die neue Keytab.
6. Laden Sie das Keytab zu iDRAC hoch.
Sie können sich jetzt unter Verwendung der SSO am iDRAC anmelden.
Warum scheitert die SSO-Anmeldung bei Active Directory-Benutzern auf Windows 7 und Windows Server 2008 R2?
Sie müssen die Verschlüsselungstypen für Windows 7 und Windows Server 2008 R2 aktivieren. So aktivieren Sie die
Verschlüsselungstypen:
1. Melden Sie sich als Administrator oder als Benutzer mit Administratorrechten an.
2. Wechseln Sie zu Start und führen Sie gpedit.msc aus. Das Fenster Editor für lokale Gruppenrichtlinien wird angezeigt.
3. Wechseln Sie zu Lokale Computereinstellungen > Windows-Einstellungen > Sicherheitseinstellungen > Lokale
Richtlinien > Sicherheitsoptionen.
4. Klicken Sie mit der rechten Maustaste auf Netzwerksicherheit: Für Kerberos genehmigte Verschlüsselungstypen
konfigurieren und wählen Sie Eigenschaften aus.
5. Aktivieren Sie alle Optionen.
6. Klicken Sie auf OK. Sie können sich jetzt unter Verwendung der SSO am iDRAC anmelden.
Führen Sie die folgenden zusätzlichen Einstellungen für das erweiterte Schema aus:
1. Navigieren Sie im Fenster Editor für lokale Gruppenrichtlinien zu Einstellungen des lokalen Computers > Windows-
Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen.
2. Klicken Sie mit der rechten Maustaste auf Netzwerksicherheit: NTLM einschränken: Ausgehender NTLM-Verkehr zu
Remote-Server und wählen Sie Eigenschaften aus.
3. Wählen Sie Alle zulassen, klicken Sie auf OK und schließen Sie das Fenster Editor für lokale Gruppenrichtlinien.
4. Gehen Sie zu Start, und führen Sie den Befehl „cmd“ aus. Daraufhin wird das Fenster mit der Windows-Befehlseingabe
angezeigt.
322
Häufig gestellte Fragen